En Resumen
- Una campaña de botnets ha estado infectando las máquinas MS-SQL con malware para minar criptomonedas.
- Los servidores infectados han estado minando Monero y Vollar para los atacantes.
- La campaña sigue infectando unas 3.000 nuevas máquinas diariamente en todo el mundo.
Guardicore, una compañía de centros de datos y seguridad en la nube, publicó un informe detallando una extensa campaña de una red de bots para secuestrar máquinas de Microsoft SQL Server (MS-SQL) en todo el mundo y forzarlas a minar las criptodivisas Monero y Vollar.
Apodada "Vollgar" por la compañía -como una mezcla de Vollar y vulgar- la campaña ha continuado desde que fue detectada por primera vez en mayo de 2018, infectando sistemáticamente alrededor de 3.000 nuevas máquinas diariamente en todo tipo de industrias, incluyendo la salud y las telecomunicaciones.
Según Guardicore, los países más infectados son China, India, Estados Unidos, Corea del Sur y Turquía, y la gran mayoría de las máquinas atacantes se encuentran en China. Un pico de actividad en diciembre de 2019 llamó la atención de la compañía, lo que finalmente llevó al informe de hoy.
"Durante sus dos años de actividad, el flujo de ataques de la campaña ha permanecido similar -muy completo, bien planeado y ruidoso", dice el informe.
La parte "vulgar" del nombre de Guardicore proviene de lo agresivos que han sido los atacantes al reclamar la posesión de las máquinas secuestradas. Después de asegurar el acceso tras los intentos de ingreso por fuerza bruta, la red de robots cambia una serie de configuraciones en la máquina para descargar el malware, pero también elimina procesos que podrían habilitar otros tipos de malware. De esta manera, la red de robots puede utilizar la mayor cantidad posible de recursos de la máquina infectada.
Rastreamos 133.000 nombres de Ethereum (ENS) y expusimos sus secretos
El Servicio de Nombres en Ethereum (ENS) fue diseñado para facilitar el envío y la recepción de criptomonedas. Usted toma su dirección Ethereum (ETH) - una cadena alfanumérica de caracteres, que muestra la cantidad de ETH que tiene en su cuenta - y la reemplaza con un simple nombre. De la misma manera que las direcciones de correo electrónico sustituyeron a los pedazos de código, esta idea suponía que simplificaría las transacciones criptográficas. Pero Decrypt descubrió que este paso adelante e...
Monero es una criptomoneda que los botnets suelen minar a través de las máquinas infectadas. En enero, un investigador de seguridad descubrió un esquema de minería de Monero en un servidor web operado por el Departamento de Defensa de los Estados Unidos.
También, a finales del año pasado, se descubrió que la red de botnets Stantinko, de larga trayectoria, utilizaba YouTube para instalar módulos de minería de Monero en las computadoras.
¿Tiene Google un problema con las criptomonedas?
En un aparente cambio en su política de Play Store, Google eliminó el popular navegador de cifrado MetaMask de la tienda de Android esta semana. Esta medida salió a la luz ayer justo después de que el gigante de Internet retirara unilateralmente cientos de videos especializados en criptomonedas de su popular plataforma YouTube. Aunque las remociones de videos parecen estar en proceso de ser revertidas —la compañía le dijo ayer a Decrypt que la Purga de Nochebuena fue hecha por error— MetaMask to...
Guardicore ya ha lanzado un script de detección e indicadores de infección para ayudar a los administradores de los servidores a determinar si sus servidores MS-SQL están infectados o no.
